Dovere di trasparenza del Comune e privacy: le sanzioni del Garante e gli obblighi della PA

di LUISA DI GIACOMO*

Comuni ed Enti locali si trovano, ormai da quasi dieci anni (e precisamente dall’entrata in vigore del d.lgs. 33/2013 e successive modifiche, il cosiddetto Decreto Trasparenza) a fare i conti con il dovere di “trasparenza”, ovvero rendere pubblici atti, documenti, informazioni e dati di particolare importanza o interesse per i cittadini, al fine di favorire forme diffuse di controllo sull’azione amministrativa, sull’utilizzo delle risorse pubbliche e sulle modalità con le quali le pubbliche amministrazioni agiscono per raggiungere i propri obiettivi.

Tuttavia, la complessità di questa azione di divulgazione si scontra, oggi più che mai, con i doveri di protezione dei dati e riservatezza che ogni Ente Locale deve garantire ai propri cittadini, dipendenti e collaboratori. L’Autorità Garante per la protezione dei dati personali, infatti, è già intervenuta più volte per garantire che la disciplina in materia sia assicurata anche nell’adempimento del Decreto Trasparenza, stabilendo opportune cautele, ed irrogando sanzioni in caso di inosservanza.

Ed è proprio da una di queste recentissime sanzioni che vogliamo partire per evidenziare quali sono gli obblighi che le PA devono osservare quando pubblicano atti e documenti online: con ordinanza ingiunzione del 26 maggio 2022, il Garante ha sanzionato il Comune di Afragola per aver pubblicato un curriculum vitae nella sezione trasparenza del sito senza aver oscurato i dati non necessari e per una durata superiore a quella di legge (Garante Privacy, provvedimento n. 198/2022).

La sanzione di 10.000,00 euro è stata comminata a seguito del reclamo di un interessato, che lamentava la diffusione (ovvero la pubblicazione sul web: si intende per diffusione la comunicazione dei propri dati ad un numero di interessati indefinito ed imprecisato) dei suoi dati personali contenuti all’interno di un curriculum vitae pubblicato sul sito istituzionale del Comune.

A seguito di istruttoria, il Garante ha accertato che:

  • l’interessato aveva correttamente presentato istanza di opposizione al trattamento dei propri dati al Comune;
  • il Comune non aveva fornito alcuna risposta;
  • dopo i 30 giorni previsti dal GDPR il Comune solo a seguito di intervento del Garante forniva una risposta, peraltro senza aver informato il reclamante dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale entro il medesimo termine, in violazione dell’art. 12, parr. 3 e 4, del Reg. UE 679/2016;
  • il cv del reclamante era rimasto online oltre il termine di tre anni (art. 14, comma 2, del d.lgs. 14 marzo 2013, n. 33) dalla data di cessazione del rapporto di lavoro col Comune stesso, per cui la diffusione dei dati è avvenuta senza alcuna base giuridica legittima;
  • il cv conteneva dati ulteriori rispetto a quelli necessari ad adempiere tale obbligo di legge, quali l’indirizzo di residenza, il numero di cellulare e gli indirizzi di posta elettronica privati.

In ossequio al principio di minimizzazione e limitazione delle finalità, il Garante ha chiarito che il l’obbligo di pubblicazione del curriculum vitae non può, comunque, comportare la diffusione di dati personali che non siano pertinenti rispetto alle finalità di trasparenza perseguite. Pertanto, prima di pubblicare alcunché sul web, il Comune titolare del trattamento dovrà selezionare i dati, omettendo le informazioni eccedenti, quali ad esempio i recapiti personali o il codice fiscale, che nulla aggiunge ai doveri di trasparenza dell’Ente.

Nel caso analizzato, inoltre, il Comune di Afragola si è difeso sostenendo che la pubblicazione dei dati eccedenti presenti sul cv sarebbe stata da ascrivere al fornitore, gestore del sito web del Comune.

Attenzione alla scelta dei fornitori ed alla scelta della linea difensiva in caso di sanzioni da parte del Garante: è sempre il titolare del trattamento, ovvero il Comune, il soggetto responsabile delle decisioni sui dati, delle modalità di trattamento, delle scelte inerenti i trattamenti, le basi giuridiche adottate, le misure di sicurezza ed in generale tutto quanto attenga alla corretta gestione dei dati. Tentare di difendersi accollando responsabilità a fornitori responsabili esterni o al DPO non solo potrebbe risultare inutile, ma addirittura dannoso: se il Comune non dimostra di aver operato una scelta oculata nella selezione del proprio fornitore, di avergli impartito le istruzioni necessarie, di averlo debitamente nominato responsabile esterno, rischia di ricevere una ulteriore sanzione per la violazione del principio di accountability (art. 24 Reg. UE 679/2016).

Al contrario, l’Ente è obbligato per legge, in base all’art. 28, par. 3, lett. g) GDPR, a stipulare un accordo sulla protezione dei dati con il proprio responsabile esterno prima di iniziare il trattamento, prevedendo che “il responsabile del trattamento […] su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati”.

Spetta quindi sempre all’Ente titolare di prendere ogni decisione in merito alla cancellazione, conservazione e distruzione dei dati, nonché rispondere alle richieste di opposizione al trattamento da parte degli interessati. Sarà quindi obbligatorio per il Comune definire una procedura in tal senso, per evitare che, come nel caso di specie (oggi è toccato al Comune di Afragola, ma la permanenza di dati non aggiornati sui siti istituzionali dei Comuni è prassi purtroppo molto diffusa) la violazione del GDPR con conseguente sanzione a carico del Comune.

Infine, un ultimo aspetto importante da considerare riguarda la tipologia di dati coinvolti nella diffusione ed il numero di interessati coinvolti: se, come nel caso di Afragola, la diffusione riguarda solo dati comuni, la sanzione sarà più lieve (10.000 euro in questo caso: ma ricordiamo sempre la possibilità che il Comune si rivalga sui propri amministratori con la richiesta di risarcimento del danno erariale); tuttavia, se la violazione dovesse riguardare dati appartenenti alle categorie particolari ex art. 9 del GDPR e più interessati, anche le sanzioni potrebbero lievitare di conseguenza.

Una eventualità per cui i Comuni dovrebbero farsi trovare preparati, con un monitoraggio serio, costante e proattivo delle attività di adeguamento e di protezione dei dati personali degli interessati all’interno della propria amministrazione.

>> L’ARCHIVIO COMPLETO DELLA RUBRICA I MARTEDI’ DELLA CYBERSECURITY.

Riconoscere e difendersi dagli attacchi phishingL’AUTORE

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online.
Le piace definirsi Cyberavvocato.

© RIPRODUZIONE RISERVATA

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *